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SIB 91758 

DESCRIZIONE dell ' invenzione industriale dal titolo: 
"DISPOSITIVO DI CONTROLLO DI ACCESSI IN RETE TRAMITE 
IL RICONOSCIMENTO VELOCE DI TRAME APPLICATIVE CHE 
SODDISFANO UN INSIEME DI REGOLE PREDEFINITE" 
della ditta italiana ALAS I di Arcieri Franco & C. 
s . a . s . 

con sede in AUSTIS (NUORO) - ITALIA 

— i _ j _ j _ 

DESCRIZIONE \:^:'o 0 
La presente invenzione ha come oggetfo un 
dispositivo di controllo di accessi in rete tramite il 
riconoscimento veloce di trame applicative che 
soddisfano un insieme di regole predefinite. 

In particolare, il dispositivo secondo 

1' invenzione permette sia il rilevamento e 
1' interpretazione di protocolli applicativi di sistemi 
di trasmissione dati su rete sia il confronto di ogni 
trama di comunicazione rilevata ed interpretata con un 
insieme di "pattern" di controllo. Nel caso di trama 
riconosciuta, il dispositivo permette l'accesso al 
servizio. Nel caso di trama non riconosciuta, il 
dispositivo nega l'accesso al servizio. 

Per "pattern" (o regola d'accesso) verra intesa 
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all'interno della presente descrizione la specif ica di 
riconoscimento di una particolare trama di 
comunicazione . 

Tale specifica verra pref erenzialmente intesa 
come un insieme di coppie <tipo di dato>/<valore dato> 
assunte dai campi all'interno della trama di 
comunicazione. Le coppie <tipo di dato>/<valore dato> 
sono specificate in base ai vari livelli di 
comunicazione che si trovano all'interno della trama 
di comunicazione sia per quanto concerne la parte di 
controllo sia anche per quanto concerne la parte di 
inf ormazione . Nel corso della presente descrizione 
verranno illustrate, a titolo di esempio, trame di 
comunicazione di tipo HTTP (i servizi di browsing su 
Internet) . 

Dispositivi di controllo di accessi in rete sono 
noti e si possono suddividere in due grandi categorie: 
1) In una prima categoria, le varie regole di accesso 
vengono rappresentate tramite matrici 

multidimensional! rappresentate in forma non- 
compressa, facendo uso di semplici linguaggi di 
accesso a tali matrici. Lo svantaggio di una tale 
rappresentazione e dato dalla notevole occupazione in 
memoria: una matrice 10-dimensionale con 100 elementi 
per dimensione ha una occupazione di memoria di 100 10 . 
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2) In una seconda categoria, le varie regole di 
accesso vengono ' rappresentate tramite matrici 
multidimensional! rappresentate in forma compressa. 
L' accesso a tali matrici non e di tipo diretto . Una 
tale modalita presenta lo svantaggio di richiedere 
l'utilizzo di linguaggi ad alto livello i quali, 
mediante operatori di test e di confronto, determinano 
la particolare procedura da attivare in risposta al 
riconoscimento di una regola d' accesso. Le particolari 
strutture di controllo cosi utilizzate appesantiscono 
il processo di interpretazione, rendendolo 

inef f iciente . Risulta peraltro difficile, se non 
impossibile, la realizzazione di metodi generalizzat i 
per il riconoscimento delle strutture informative su 
tecnologie veloci (firmware) . 

In ambedue le tipologie di dispositivi di tecnica 
nota sussiste poi l'ulteriore svantaggio che il 
riconoscimento delle trame di comunicazione non pud 
essere basato su un qualsiasi componente della trama, 
ma solamente su trame a livello non applicativo. 

La presente invenzione owia a tali problemi di 
tecnica precedente, in quanto prevede un dispositivo 
di controllo di accessi in rete tramite il 
riconoscimento deterministico di trame applicative che 
soddisfano un insieme di regole predefinite 
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comprendente : 

- mezzi di rilevamento ed interpretazione delle trame 
applicative da riconoscere; 

- mezzi di memorizzazione di regole predefinite; 

- mezzi di compilazione delle regole predefinite in 
una struttura dati ad accesso diretto; 

- mezzi di memorizzazione di detta struttura dati ad 
accesso diretto; e 

- mezzi di confront o tra le trame applicative da 
riconoscere e detta struttura dati ad accesso diretto, 
in cui il riconoscimento pud essere effettuato su 
qualsiasi componente della trama ed in cui la 
struttura dati ad accesso diretto permette di ottenere 
un tempo di accesso sostanzialmente indipendente dalla 
numerosita delle regole . 

Come noto, una struttura dati ad accesso diretto 
ha la proprieta di consentire 1' accesso all' elemento 
i-esimo senza dover necessar lament e accedere 
preventivamente agli elementi precedenti, come awiene 
invece nel caso di strutture dati ad accesso 
sequenziale . Esempi noti di strutture dati ad accesso 
diretto sono i vettori, le matrici, le tavole di 
corrispondenza, la memoria di un elaboratore etc. 

Un primo vantaggio del dispositivo di controllo 
di access! secondo la presente invenzione e dato dalla 
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flessibilita con la quale e possibile realizzare un 
pattern di riconoscimento. * Grazie all'utilizzo 
dell' apparecchio per il rilevamento e 

1' interpretazione di protocolli applicativi, spiegato 
in dettaglio nel seguito, il riconoscimento delle 
trame di comunicazione pud essere infatti basato su 
una qualsiasi componente della trama, sia sulla parte 
controllo che sulla parte inf ormazione . E' quindi 
possibile realizzare pattern di riconoscimento (e 
quindi limitare l r accesso) in base ai contenuti 
informativi scambiati e non soltanto in base agli 
indirizzi ed ai servizi di rete utilizzati. 

Un secondo vantaggio del dispositivo secondo la 
presente invenzione e dato dalla sua capacita di 
gestire un elevatissimo numero di pattern (dell 7 ordine 
dei milioni) senza alcun degrado delle prestazioni. 

In un contesto nel quale siano coinvolti un 
numero elevato di utenti, di server e di servizi 
applicativi sui server stessi, quando si vuole gestire 
in modo diretto 1' accessibility di ogni utente al 
singolo server e servizio applicativo da questo reso 
disponibile ci si trova infatti in presenza di una 
crescita quadratica dei pattern. Ad esempio, dati 1000 
utenti sul territorio e 100 sep^^Jifi^Hj si ™ ole 
gestire e controllare gli ac#^; vengpnpX generati 
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1000*100=100.000 pattern. Questo numero aumenta ancora 
nel caso. in cui si voglia gestire e controllare 
1'accesso alle applicazioni per ogni singolo server, 
rendendo, in casi reali su organizzazioni 
medio/grandi, il numero di pattern stimabile 
nell'ordine dei milioni. 

Tale numero di pattern e del tutto accettabile 
per il dispositivo di cui alia presente invenzione. 

II riconoscimento delle trame di comunicazione 
acquisite e . infatti basato su un algoritmo 
deterministico (quindi ne euristico ne probabilistico ) 
di accesso in grado di garantire un tempo di accesso 
costante ed indipendente (sotto qualsiasi input) dal 
numero dei pattern. 

Per ogni trama correttamente riconosciuta, il 
dispositivo di controllo di accessi esegue poi 
1' operazione di coordinamento associata al 

riconoscimento. A riconoscimento awenuto infatti, il 
dispositivo attivera una comunicazione a livello 
TCP/IP (o livelli corrispondenti di altri protocolli) 
con 1' applicazione server individuata come risultato 
del riconoscimento, anche parziale, della componente 
informativa della trama di ingresso, fornendo come 
parametri parte della componente informativa gia 
riconosciuta oppure non ancora processata. Le modalita 
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di invio (formato di invio dei parametri, numero dei 
parametri da inviare, applicazione da attivare etc.) 
sono associate all' azione di riconoscimento e sono 
quindi memorizzate nei pattern. 

II dispositivo di controllo di accessi secondo la 
presente invenzione pud essere configurato per operare 
tanto in logica diretta che in logica negata. 

In logica diretta saranno considerate accettate, 
e quindi portate a destinazione , tutte le trame che 
soddisfano i pattern di riconoscimento. 

In logica negata saranno considerate accettate, e 
quindi portate a destinazione, tutte le trame che non 
soddisfano i pattern di riconoscimento. Tutte le trame 
riconosciute non saranno portate a destinazione. 

La presente invenzione verra qui di seguito 
descritta tramite una sua forma di realizzazione 
preferita, illustrata a scopo esemplif icativo e non 
limitativo. Verra fatto riferimento alle figure dei 
disegni allegati, in cui : 

la figura 1 mostra un diagramma schematico dello 
standard OSI; 

la figura 2 mostra una rappresentazione 
schematica del tipo di dati utilizzati nelle 
comunicazioni su rete; 

la figura 3 mostra una rappresentazione 
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schematica del tipo di dati utilizzati nelle 
comunicazioni su rete con rif erimento al protocollo 
TCP/IP; 

la figura 4 mostra uno schema a blocchi 
dell' apparecchio di rilevamento ed interpretazione 
f acente parte del dispositivo di controllo di access! 
secondo la presente invenzione; 

la figura 5 mostra uno schema di flusso che 
spiega il f unzionamento della componente di figura 4; 

le figure 6 e 7 mostrano ulteriori schemi di 
flusso per la comprensione di quanto descritto con 
rif erimento alia figura 5; 

le figure 8A e 8B mostrano un esempio di albero 
applicativo arricchito di informazioni di tipo 
statistico ottenuto tramite la componente di figura 4; 

la figura 9 mostra uno schema a blocchi del 
dispositivo di controllo di accessi secondo la 
presente invenzione; 

le figure 10A e 10B mostrano schemi 
esemplif icativi della corrispondenza logica tra grafo 
bipartito e matrice bidimensionale; 

la figura 11 contiene un esempio di specifica di 
regole predefinite; e 

la figura 12 mostra una rappresentazione in forma 
matriciale di sequenze di identif icatori numerici. 
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La trasmissione di dati da un dispositivo di 
sorgente ad un dispositivo di destinazione - pud 
awenire secondo modalita differenti. Al fine di 
assicurare uno scambio di dati con una ampia 
probability di mancanza di errori e pero necessario 
adottare un insieme di regole o procedure di 
controllo. Tali regole o procedure sono note con il 
termine di "protocolli di comunicazione". 

Un protocollo standard di comunicazione e 1' "Open 
System Interconnection" (OSI) della International 
Standards Organization (ISO) . Tale protocollo e 
organizzato secondo una suddivisione in sette livelli, 
mostrata in figura 1. Il livello 7 ( applicazione ) 
lato sorgente contiene informazioni relative 
semplice messaggio (M) da inviare verso il 
destinazione. I successivi livelli del lato sorg 
aggiungono informazioni di controllo al messaggio: il 
livello 6 (presentazione) suddivide i dati del 
messaggio originale in blocchi (Ml ed M2 ) ; il livello 
5 (sessione) aggiunge un titolo (S) per indicare il 
mittente, il destinatario ed alcune informazioni 
relative alia sequenza; il livello 4 (trasporto) 
aggiunge informazioni (T) relative alia connessione 
logica tra il mittente ed il destinatario; il livello 
3 (rete) aggiunge informazioni relative al percorso 
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(N) ed il messaggio viene suddiviso in pacchetti che 
rappresentano l'unita standard di comunicazione in una 
rete; il livello 2 ( coliegamento dati) aggiunge una 
parte di titolo (B) ed una parte di coda (E) al 
messaggio per assicurare il corretto ordine dei vari 
pacchetti e correggere errori di trasmissione; i 
singoli bit del messaggio e delle inf ormazioni di 
controllo via via aggiunte dai vari livelli vengono 
trasmessi sul mezzo fisico attraverso il livello 1. La 
freccia Fl verso il basso sul lato sorgente indica le 
modalita secondo le quali viene costruito il messaggio 
in partenza. Tutte le aggiunte al messaggio vengono 
verificate e rimosse dal corrispondente livello dal 
lato del destinatario . La freccia F2 verso 1'alto sul 
dato destinatario indica le modalita secondo le quali 
viene ricostruito il messaggio in arrivo . 

Facendo riferimento alio standard OSI, l'unita di 
comunicazione in una rete e il pacchetto. I pacchetti 
solo a loro volta suddivisi in frame. L'inizio e la 
fine di ciascun frame vengono in genere stabiliti 
tramite caratteri di delimitazione . I frame sono a 
loro volta suddivisi in frame di informazione e frame 
di controllo. I frame di informazione servono al 
trasporto di dati relativi al messaggio da trasmettere 
lungo la rete, mentre i frame di controllo servono a 
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gestire le modalita secondo le quali tale trasporto 
deve awenire, vale a dire al controllo del flusso ed 
all' attivazione delle azioni di recupero degli errori. 
Sia i frame di informazione che i frame di controllo 
contengono una parte di intestazione che identifica il 
tipo di frame ed una parte di corpo tipica invece del 
frame stesso. 

La struttura dei frame di informazione verra 
descritta f acendo rif erimento alia f igura 2 . Nella 
parte superiore di tale figura e rappresentata in 
maniera schematica la struttura generica di un 
pacchetto di livello OSI 2, comprendente cioe sia 
frame di informazione 1 che frame di controllo 2. La 
costituzione di un singolo frame di informazione 
(livello OSI 3) indica la presenza di una parte di 
intestazione 3, che contiene 1' identif icazione che il 
frame in oggetto e un frame di informazione, e di una 
parte di corpo 4. La parte di corpo (livelli OSI 4-7) 
contiene il messaggio 5 vero e proprio, unitamente ad 
una serie 6 di campi, rappresentati in maniera 
esemplif icativa in figura con i caratteri CI, C2 e C3, 
tipici della particolare sintassi applicativa 
utilizzata. Per sintassi applicativa si intendono le 
informazioni relative al numero di campi contenuti 
all'interno della serie 6, al significato di ciascuno 
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di tali campi ed ai dati in essi contenuti. 

II modello OSI fin qui schematicamente riassunto 
e solamente un modello concettuale. Uno dei protocolli 
attualmente piu utilizzati ed universalmente accettati 
e il protocollo TCP/IP (Transmission Control Protocol 
and Internet Protocol) . Tale protocollo, come anche 
altri protocolli di comunicazione adottati, e 
spiegabile tramite riferimenti alia struttura a 
livelli del modello OSI . In ciascuno di tali 
protocolli infatti, un determinato livello di sorgente 
suddividera i dati che riceve da un livello superiore 
aggiungendo agli stessi una intestazione e/o una coda 
per poi passare il tutto ad un livello inf eriore . Dal 
lato destinazione awerranno le operazioni inverse. 

Con riferimento alia successiva figura 3, viene 
mostrata una rappresentazione schematica del tipo di 
dati utilizzati nelle comunicazioni su rete locale con 
riferimento al protocollo TCP/IP trasportante il 
servizio applicativo HTTP (browsing su Internet) . 
II livello Ethernet comprende sostanzialmente quattro 
tipi di campi: 

- un campo 101 di indirizzo della scheda di rete di 
destinazione; 

- un campo 102 di indirizzo della scheda di rete di 
sorgente ; 
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un 



campo 103 indicativo del protocollo di 
comunicazione trasportato, in questo caso indicativo 
del protocollo IP e della lunghezza della parte 
inf ormazione; e 

- un campo inf ormazione 104, contenente cioe i dati 
del livello Ethernet, vale a dire tutta la struttura 
del protocollo IP trasportato. 

II livello IP (incapsulato nel livello Ethernet) 
comprende -sos tanzialmente sei tipi di campi: 

- una serie di campi di controllo 105 identif icativi 
della versione, della lunghezza, delle opzioni di 
trasmissione, filler etc.; 

un campo 106 indicativo del protocollo di 
comunicazione trasportato, in questo caso indicativo 
del protocollo TCP; 

- un campo 107 di indirizzo IP di destinazione , vale a 
dire 1' indirizzo IP di chi deve ricevere il pacche^tto; 

- un campo 108 di indirizzo IP di sorgente, /vale a 
dire 1' indirizzo IP di chi ha inviato il pacchetto; e 

- un campo informazione 109, contenente cioe i dati 
del livello IP, vale a dire tutta la struttura >el 
protocollo TCP trasportato. 

II livello TCP (incapsulato nel livello IP) comprende 
quattro tipi di campi: 

- un campo porta di sorgente 110, indicante la porta 
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di servizio TCP utilizzata da chi ha inviato il 
pacchetto; 

- un campo porta di destinazione 111/ indicante la 
porta di servizio TCP utilizzata dal ricevitore del 
pacchetto ; 

- una serie di campi di controllo 112 ident if icanti 
l'ID di pacchetto, la finestra di lavoro, il crc, 
opzioni varie etc.; e 

- un campo di informazione 113, contenente cioe i dati 
del livello TCP, vale a dire tutta la struttura del 
servizio applicativo HTTP trasportato, cioe i comandi 
del linguaggio HTTP e, nella sua parte inf ormativa, i 
comandi del linguaggio HTML. 

Sistemi di rilevamento dei dati trasmessi tra un 
nodo sorgente ed un nodo di destinazione sono gia 
noti. Tali sistemi si limitano pero all' analisi dei 
livelli OSI 2 ( collegamento dati) e OSI 3 (rete) . Il 
rilevamento e la successiva interpretazione dei dati a 
tali livelli permettono soltanto 1' individuazione di 
anomalie nel protocollo di scambio tra i vari 
* componenti di un sistema di trasmissione dati su rete. 

Uno svantaggio tipico di tali sistemi di tecnica 
precedente e pertanto 1' impossibility di decodificare 
1' informazione di tipo applicativo trasportata sulla 
rete, vale a dire 1' informazione relativa ai livelli 
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4-7 dello standard OSI. 

Nelle successive figure da 4 ad 8B verranno 
descritte nel dettaglio la struttura ed il 
f unzionamento di un apparecchio per il rilevamento e 
1' interpretazione di protocolli applicativi. 

Verra fatto ora riferimento alia figura 4, che 
mostra uno schema a blocchi dell' apparecchio . In tale 
figura vengono innanzitutto mostrati un nodo di 
sorgente 7 ed un nodo di destinazione 8, terminali del 
tratto di rete i cui dati vengono rilevati ed 
interpretati . Lungo il collegamento tra tali due nodi, 
rappresentato schematicamente dalle f recce F3, F4, F5 , 
F6 e dal mezzo trasmissivo 23, viaggiano in maniera 
bidirezionale dati relativi a piu comunicazioni tra un 
primo insieme di elaboratori di sorgente (non indicati 
in figura) a monte del nodo di sorgente 7 ed un 
secondo insieme di elaboratori di destinazione (non 
indicati in figura) a valle del nodo di destinazione 

8 . 

Tali dati vengono rilevati tramite un dispositivo 

9 di rilevamento dati. Diversi sono i dispositivi di 
rilevamento del tipo noti sul mercato; per quanto 
riguarda le reti basate su tecnologia Ethernet e ad 
esempio possibile citare la scheda Fast Etherlink XL™ 
della ditta 3Com™. Per quanto riguarda le reti basate 
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su tecnologia X.25 e possibile citare ad esempio la 
scheda S508 della ditta canadese Sangoma™. Tale scheda. 
puo operare con diversi standard a livello OSI 1 
(livello fisico) quali ad esempio lo standard RS232 (o 
V.24) e lo standard RS422 (o V.35). Gli standard di 
livello OSI 2 (collegamento dati) con i quali tale 
scheda puo operare sono ad esempio lo standard HDLC 
oppure, contenuto in questo, lo standard X.25. II tipo 
di dispositivo di rilevamento 9 da scegliersi ai firii 
della presente invenzione potra comunque variare a 
seconda degli standard di livello OSI 1 o OSI 2 sui 
quali si desideri operare. Sara infatti possibile 
pensare di utilizzare dispositivi di rilevamento che 
operino con standard implementativi different! del 
livello OSI 2, quali ad esempio il "Frame Relay" o lo 
SDLC o ancora il BSC o altri similari. Tali 
dispositivi sono comunque ben noti all' esperto del 
ramo e non verranno qui discussi in dettaglio. 

II rilevamento awiene in maniera "trasparente" 
tramite due connettori paralleli 10 ed 11, indicati 
schematicamente in figura, atti a permettere il 
rilevamento dei dati provenienti rispettivamente dal 
nodo di sorgente 7 e dal nodo di destinazione 8. II 
dispositivo di rilevamento 9, mostrato nel suo 
complesso nel blocco indicato a tratteggio in figura, 
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e tale da comprendere un ricevitore dei dati di 
sorgente 12, un ricevitore dei dati di destinazione 13 
ed una interfaccia di connessione 14. II ricevitore 
dei dati di sorgente 12 e tale da permettere la 
ricezione dei soli dati provenienti dal nodo di 
sorgente 7 secondo quanto schematicamente indicato 
dalla freccia F7; il ricevitore dei dati di 
destinazione 13 e tale invece da permettere la 
ricezione dei soli dati provenienti dal nodo di 
destinazione 8 secondo quanto schematicamente indicato 
dalla freccia F8 . I dati cosi ricevuti vengono 
trasmessi alia interfaccia di connessione 14, secondo 
quanto indicato dalle f recce F9 ed F10. 

Ciascun pacchetto di dati ad un livello 
corrispondente al livello OSI 2 letto tramite 1' unita 
di rilevamento 9 viene inviato ad una unita di, 
controllo 15, come indicato dalla freccia Fll. 1/ un/£a 
di controllo 15 verra descritta oltre in dettaglio .£ a ; 
ciascuno di tali pacchetti viene associato un istant%^ 
temporale di lettura tramite una unita 16 di ^ 
datazione, rappresentata per comodita di presentazione 
all' esterno "dell' unita di controllo 15 e collegata a 
quest' ultima come indicato tramite la freccia F12. 
Tale unita 16 di datazione pud essere un qualsiasi 
dispositivo a tempo assoluto presente in commercio, in 
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particolare via radio o satellitare. Nella modalita di 
realizzazione preferita delle presente invenzione si e 
utilizzato un orologio digitale radiocontrollato che 
si tara sull'ora CET (Central European Time) irradiata 
tramite satellite geostazionario . 

Success ivamente all' associazione dell' istante 
temporale di lettura tramite l'unita 16 di datazione, 
l'unita di controllo 15 prowede a riordinare 
logicamente i singoli frame in modo da ricostruire 
I'esatta sequenza logico/temporale di spedizione dei 
frame che, come noto, non sempre coincide con la 
sequenza di ricezione: e infatti possibile, causa le 
tecniche di instradamento su reti di 

telecomunicazione, che una sequenza di spedizione del 
tipo "ABC" possa essere ricevuta in tutte e sei le sue 
possibili combinazioni, vale a dire "ABC", "ACB", 
"BAC", "BCA", "CAB", "CBA" . L'unita di controllo 15 
prowede quindi alia discriminazione dei frame di 
informazione dai frame di controllo. Nel caso in cui 
1' inf ormazione venga ad esempio trasmessa in HDLC, 
1' ultimo bit della parte di intestazione di un frame 
di informazione e 0 mentre l f ultimo bit della parte di 
intestazione di un- frame di controllo e 1. All' interno 
dell'unita di controllo 15 sono pertanto presenti 
mezzi, non indicati in figura, atti alia 
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discriminazione di tale ultimo bit, ad esempio un 
firmware contenuto in una ROM. In ogni caso, qualunque 
sia il codice di trasmissione dati utilizzato, saranno 
sempre note le modalita che distinguono un frame di 
controllo da un frame di inf ormazione . Sara pertanto 
sempre possibile prevedere mezzi atti a tale 
discriminazione. Tale discriminazione consente 
pertanto di immagazzinare i singoli frame di 
informazione privi della parte di intestazione e 
comprendenti la sola parte di corpo, contenente cioe 
le informazioni tipiche della particolare sintassi 
applicativa utilizzata, ed il messaggio da 
trasmettere . 

I dati incorporanti l'istante temporale di 
rilevamento e suddivisi in frame di informazione e 
frame di controllo vengono immagazzinati all' interno 
di una unita 17 di memorizzazione dei dati rilevati, 
collegata in maniera bidirezionale all' unita di 
controllo 15 come rappresentato tramite la freccia 
F13. E' poi presente una unita 18 di memorizzazione di 
dati predeterminati, collegata in maniera 

bidirezionale all' unita di controllo 15. Tali dati 
predeterminati rappresentano possibili interpretazioni 
dei frame di informazione o di controllo contenuti 
nell' unita di memorizzazione 17. II loro utilizzo 
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verra spiegato in seguito con rif er imento alle 
successive figure. II collegamento " tra 1' unita di 
memorizzazione 18 e 1' unita di controllo 15 e 
rappresentato tramite la freccia F14. 

Verra fatto successivamente riferimento alia 
figura 5, che mostra uno schema di flusso indicante le 
operazioni che vengono effettuate dall' unita di 
controllo 15 sui frame di informazione immagazzinati 
nell' unita 17 di memorizzazione. E' da intendersi che 
1'accesso a tale frame potra eventualmente essere 
selettivamente regolato tramite sistemi di gestione 
privilegi ed autorizzazioni quali ad esempio password, 
codici di criptazione, decriptazione, lettori di badge 
e similari in possesso di utenti abilitati, a seconda 
dei casi. 

Un primo passo SI indica la lettura dei vari 
pacchetti awenuta tramite 1' unita 3 di rilevamento. 
Un secondo passo S2 indica la distinzione, 
precedentemente descritta, che 1' unita di controllo 15 
effettua tra i frame di informazione ed i frame di 
controllo, unitamente all' associazione dell 7 istante 
temporale di rilevamento. 

Sui frame di controllo, di basso livello (non 
applicativo) , il cui utilizzo e marginale ai fini 
della presente invenzione, potra comunque essere 
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prevista una elaborazione statistics, effettuata nel 
passo S3. Tale, elaborazione non viene qui descritta in 
dettaglio; le modalita con le quali essa awiene 
risulteranno chiare in seguito. II risultato finale di 
una tale elaborazione fornira una elencazione dei vari 
frame di controllo, riportando inoltre il conteggio 
del numero di occorrenze di ciascuno di tali frame. 

Per quanto concerne i frame di inf ormazione , il 
flusso procede verso un passo S4 in cui i singoli 
frame di informazione vengono ricostruiti in base alia 
sintassi applicativa specif ica degli stessi. Ai fini 
di tale ricostruzione, le strutture di sintassi 
applicativa dei singoli frame di informazione devono 




essere note. Esse sono infatti contenute all' inter] 



dell'unita 18 di memorizzazione di dati predetermi-nati . 

1 • " - , ^^mm ' 

descritta con riferimento alia precedente figurjj^? 3. 
Tale unita 18 contiene, ad esempio in un "fileV—di- 
testo, una descrizione formale astratta di possibili 
interpretazioni dei frame di informazione o di 
controllo. Tali dati rappresentano le modalita secondo 
le quali pud essere strutturata la parte di corpo di 
un singolo frame di informazione, ad esempio il codice 
di trasmissione macchina (vale a dire relativo ad un 
frame di informazione spedito dalla sorgente oppure 
dal destinatario ) , il numero di canale (vale a dire 
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relativo ad uno specifico elaboratore a monte del nodo 
di sorgente oppure ad uno specifico elaboratore a 
valle del nodo di destinazione), numeri di protocollo, 
numeri meccanografici etc. E' da intendersi che tale 
unita 18 pud contenere sintassi di molteplici 
protocolli applicativi, dei frame di informazione da 
ricostruire in quel momento. 

Tramite un confronto sequenziale della parte di 
corpo di ciascun frame di informazione con ciascuna 
delle tipologie astratte presenti nell' unita 18, si 
ottiene una ricostruzione dei singoli frame di 
informazione . 

Successivamente a cid, si e in grado di 
ricomporre le varie sequenze applicative intercorse 
tra un determinato elaboratore di sorgente ed un 
determinate elaboratore di destinazione, vale a dire 
un ordinamento temporale e secondo il tipo di 
comunicazione. Per sequenza applicativa verra inteso 
nel corso della presente descrizione 1' insieme dei 
frame di informazione scambiati tra un determinato 
elaboratore di sorgente ed un determinato elaboratore 
di destinazione all'interno di una singola 
comunicazione. La sequenza applicativa ordinata 
all'interno del passo S5 conterra i singoli frame di 
informazione ordinati solamente secondo un criterio 
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temporale e non anche secondo un criterio logico. 
L' ordinamento temporale e stato reso possibile 
dall'associazione dell' istante temporale awenuta nel 
precedente passo S2 . 

Ai fini di un ordinamento anche logico dei dati 
all'interno di una specif ica sequenza applicativa pud 
rivelarsi utile, ma non necessaria, la presenza di un 
insieme di regole applicative che governano lo scambio 
di dati tra sorgente e des t inazione . Tali regole 
applicative, tipiche della particolare tipologia di 
colloquio tra un determinato elaboratore di sorgente 
ed un determinato elaboratore di des tinazione , devono 
essere predef inite e come tali sono anch' esse raccolte 
nell'unita 18 di memoriz zazione di dati 

predeterminati . Tali regole applicative sono un 
insieme di possibili interpretazioni di sequenze di 
frame di inf ormazione contenuti nell' unita di 
memorizzazione 17 dei dati rilevati. 

Un esempio di regole applicative e dato dalla 
seguente tabella 1, in cui si fa riferimento ad una 
comunicazione tra una sorgente che rappresenta uno 
studente (client) che voglia effettuare una iscrizione 
via terminale all' universita, ed un destinatario 
(server) che rappresenta 1' universita cui lo studente 
vuole iscriversi. 
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TAB ELLA 1 



1: AS ? FDB 15 AS 


? FDB 5 AS ? FDB 0 


La prenotazione 


dell' iscrizione e stata acquisita 


regolarmente 




2: AS ? FDB 13 AS 


? FDB 0 


La posizione dell 


' utente non e regolare 









Ogni riga di tale tabella e una regola 
applicativa, indicante cioe una possibile sequenza 
applicativa di scambio dati tra sorgente e 
destinatario . Viene qui di seguito riportato il 
significato di ciascuna di tali sequenze applicative. 
La prima riga indica ad esempio la seguente sequenza 
di frame di inf ormazione : 

- la sorgente (AS) interroga (?) il destinatario; 

- il destinatario (FDB) risponde con l'attivita numero 
15; 

la sorgente (AS) interroga (?) nuovamente il 
destinatario; 

- il destinatario ( FDB) risponde con 1' at ti vita numero 
5; 

- la sorgente (AS) interroga (?) il destinatario; e 
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- il destinatario (FDB) risponde con 1' attivita numero 
0. 

II risultato cui si perviene al termine di tale 
conversazione e che la prenotazione dell' iscrizione 
all' universita e stata acquisita regolarmente . 

La tabella 1, meramente esemplif icativa , potrebbe 
essere anche rappresentata tramite una struttura ad 
albero con piu o meno ramif icazioni , a seconda del 
numero di sequenze applicative previste. Ogni percorso 
fino ad una delle foglie dell' albero rappresenterebbe 
una particolare sequenza applicativa, vale a dire una 
particolare conversazione tra sorgente e destinatario, 
vale a dire ancora una particolare sequenza di frame 
di informazione tra sorgente e destinatario. 

Le regole applicative possono essere in numero 



qualunque . Maggiore sara il numero di regol*^ 
applicative fornito, maggiore sara la possibility di 
associare a ciascuna delle sequenze applicative 
temporalmente ricostruite nel passo S5 un significafo 
logico ben definito, riscontrato tramite confronto con 
una particolare regola applicativa contenuta 
nell'unita di memorizzazione 18 di figura 3. In tale 
modo sara dunque possibile verificare correttezza o 
anomalia della particolare sequenza applicativa in 
quel momento confrontata. 
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Nel passo S6 di figura 5 1' unita di controllo 15 
verifica innanzitutto se tali regole applicative siano 
disponibili o meno. Supponendo che tali regole 
applicative siano note, il flusso pud procedere o 
verso un passo S8 oppure verso un passo S9, a seconda 
di quanto scelto nel passo S7 . II passo S8 permette 
una semplice classif icazione delle sequenze 
applicative. Ciascuna sequenza applicativa viene 
infatti classificata come appartenente ad un 
particolare percorso tra i vari percorsi possibili 
all' interno dell'albero delle regole applicative. II 
passo S8 verra spiegato in maggiore dettaglio con 
riferimento alia successiva figura 6. 

Nel passo S9 invece, viene ricostruito il 
percorso logico di tutte le sequenze applicative 
rilevate dall' apparecchio in un predeterminato 
intervallo temporale. Tale passo S9 verra spiegato in 
maggiore dettaglio con riferimento alia successiva 
figura 7 . 

L' apparecchio secondo la presente invenzione 
consente di effettuare una ricostruzione del percorso 
logico delle sequenze applicative anche nel caso in 
cui non sia previsto un insieme di regole applicative. 
II flusso procede in tale caso verso un passo S10, 
anch' esso successivamente descritto . 



27 



Verra fatto ora riferimento alia figura 6, che 
spiega In maggiore dettaglio quanto sopra descritto 
con riferimento al passo S8 di figura 5. In un primo 
passo Sll viene selezionata la singola sequenza 
applicativa oggetto del conf ronto . In un successivo 
passo S12 vengono selezionati, all' interno della 
sequenza applicativa selezionata, gli element! 
caratterizzanti ai fini del conf ronto. 

Nel caso esemplif icativo precedentemente 

descritto di iscrizione all ' universita con riferimento 
alia tabella 1 tali elementi caratterizzanti potranno 
essere: 1 ' identif icativo dell ' elaboratore di sorgente, 
1' identif icativo dell' utente che ha richiesto 
l'operazione di iscrizione, i dati forniti dalla 
sorgente ed i dati forniti dal destinatario . 

Nel passo S13 gli elementi caratterizzanti della 
sequenza applicativa in oggetto vengono confrontati 
con una delle regole applicative di cui alia 
precedente tabella 1 alia ricerca di una possibile 
corrispondenza . Nel caso in cui tale corrispondenza 
sia stata trovata, il flusso procede verso un passo 
S14 in cui tale corrispondenza viene segnalata e della 
quale andra tenuto conto nei risultati 

dell' interpretazione . II flusso torna poi a 
selezionare una success iva sequenza e a rieseguire il 
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passo Sll. Nel caso in cui la corrispondenza di cui al 
passo S13 non sia stata trovata, l'unita di controllo 
15 passa ad una successiva regola nel passo S15 e nel 
caso in cui (passo S16) vi siano ancora regole con le 
quali effettuare il confronto l'unita di controllo 
ritorna ad eseguire il confronto di cui al passo S13. 
Nel caso in cui invece non vi siano regole ulterior!, 
l'unita di controllo segnala una anomalia nel passo 
S17. Una tale anomalia puo alternativamente 
signif icare : 

- un tipo di sequenza che non sarebbe dovuto awenire 
(anomalia vera e propria) ; oppure 

- un tipo di sequenza non inserito per errore 
all' interno dell'albero delle regole applicative. 

In ciascuno di tali casi il riscontro di una tale 
anomalia e sicuramente utile ai fini della 
certif icazione delle tipologie di sequenze applicative 
intercorse nel tratto di rete posto sotto 
osservazione . 

Verra fatto ora riferimento alia successiva 
figura 6 che spiega in maggiore dettaglio quanto 
descritto nel passo S9 di figura 5. 

I passi S18 ed S19 servono rispettivamente a 
selezionare la singola sequenza applicativa e gli 
elementi caratterizzanti della stessa, similmente a 
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quanto descritto con riferiraento alia precedente 
figura 5. II passo S20 serve ad indicare il confronto 
tra la sequenza applicativa e le regole applicative 
predefinite contenute all' interne dell' unita 18 di 
memorizzazione di dati predeterminati . Nel caso in cui 
si sia trovata una corrispondenza, il flusso precede 
verso un passo S21 in cui viene tenuto conto della 
corrispondenza rinvenuta tramite aggiornamento dei 
relativi campi statistic!. I passi S18-S20 verranno 
successivamente ripetuti, fino ad esaurimento delle 
sequenze da classif icare . Nel caso in cui invece non 
vengano trovate corrispondenze, la sequenza 

applicativa da classif icare e nuova; essa puo 
rappresentare una anomalia oppure semplicemente una 
sequenza che non e stata prevista. In questo caso il 
flusso precede verso un passo S22 in cui vengono 
inizializzati i campi statistic! relativi a quella 
specif ica sequenza. La sequenza riscontrata potra 
inoltre inserita nella lista delle sequenza 
predefinite che servono ad effettuare la comparazione 
nel passo S20. Tale fatto e anche indicate dal doppio 
senso della freccia F14 della precedente figura 4. E' 
da intendersi che tali sequenze particolari, le 
probabili anomalie cioe, possono eventualmente essere 
marcate in maniera particolare in modo da essere 



riconosciute come tali. Successivamente a cio vengono 
anche in questo caso ripetuti i passi S18-S20 fino ad 
esaurimento delle sequenze da classif icare . In 
particolare , oltre a poter individuare il numero di 
attraversamenti di ciascun ramo dell'albero, sara 
possibile individuare anche rami non percorsi. 

Nel caso in cui non sia presente una sequenza 
predefinita di regole applicative, l'unita di 
control lo sara sempre in grado di ef f ettuare una 
ricostruzione delle comunicazioni applicative 

intercorse sul tratto di rete sotto esame (passo S9 di 
figura 5) . In tale caso ciascuna sequenza applicativa 
analizzata verra confrontata non con sequenze 
predef inite, bensi con le sequenze precedent emente 
analizzate. ■ L' albero applicativo arricchito di 
informazioni di tipo statistico verra pertanto 
ricostruito tramite confronto reciproco di ciascuna 
parte di corpo dei frame di inf ormazione con le altre . 
Verra anche in questo caso forma to un albero e sara 
possibile conoscere il numero di attraversamenti di 
ciascun ramo. In questo caso non sara owiamente 
possibile individuare rami non percorsi, in quanto non 
si sara a priori a conoscenza dell ' esistenza di tali 
rami . 

Verra fatto ora riferimento alle figure 8A e 8B 
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che mostrano rispettivamente una struttura 
esemplif icativa di frame infdrmativo ed una struttura 
esemplif icativa di albero applicativo arricchito di 
informazioni di tipo statistico ottenuta tramite 
1' apparecchio secondo la presente invenzione. 

In f igura 8 A e possibile scorgere quattro campi 
differenti: un primo campo 19 che indica il nominativo 
dell' elaboratore di sorgente o dell' elaboratore di 
destinazione; un secondo campo 20 che indica il numero 
di collegamenti all' interno dell' intervallo di tempo 
di rilevamento, un terzo campo 21 che indica la durata 
media di ciascun collegamento, ad esempio in 
millisecond!, ed un quarto campo 22 che indica il 
codice dell' attivita svolta. 

La f igura 8B indica 1' albero ricostruito. Un 
primo elemento El dell' albero indica che AS (sorgente) 
si e collegato 20 volte, con una durata media di 
collegamento di 0 millisecondi (semplice apertura del 
collegamento con il destinatario ) e ha effettuato 
1' attivita con il codice 0. Un secondo elemento E2 , 
unico "figlio" di El, indica che in tutti e 20 questi 
collegamenti FDB (destinatario) ha risposto con 
1' attivita con il codice 20, con una durata media di 
collegamento di 20 millisecondi. Due sono state le 
modalita con le quali si e proseguito. Per 18 volte 
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(elemento E3 ) AS ha risposto con l'attivita 0 e per 
due volte (elemento E4) AS ha risposto con l'attivita 
1. L' albero prosegue con altri elementi, il cui 
significato risulta ora chiaro dal contesto. L' albero 
qui presentato e il risultato dell 7 ordinamento logico 
effettuato nei passi S9 o S10 della figura 5. 

Si fa notare che 1' individuazione dei contenuti 
del campo 19 e del campo 22 di ciascun elemento e 
stata effettuata tramite il passo S4 di figura 5. 
L' individuazione dei collegamenti tra i vari elementi, 
vale a dire il fatto che 1' elemento E2 e "f iglio" di. 
El e che gli elementi E3 ed E4 sono "figli" di E2 e 
stata fatta o nel passo S9 oppure nel passo S10 di 
figura 5 . 

Terminata la descrizione dettagliata di un 
apparecchio per il rilevamento e 1' interpretazione di 
protocolli applicativi su rete, verranno qui di 
seguito descritte in dettaglio la struttura ed il 
f unzionamento delle rimanenti componenti del 
dispositivo di controllo di accessi secondo la 
presente invenzione. 

Le modalita di connessione preferita di tale 
dispositivo sono in serie, su reti Ethernet da 10 
Mbits (connettori rj58 e rj45) e 100 Mbits (rj45) . 

I protocolli di livello OSI 2 supportati saranno 
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tutti i protocolli incapsulati in Ethernet, quali 
802.3, DOD IP, ARP etc. 

I protocolli di livello OSI 3 supportati saranno 
tutti i protocolli incapsulati nei vari protocolli di 
livello OSI 2, quali TCP in IP, UDP in IP, Netbios in 
IEEE 802.3, SNA in IEEE 802.3 etc. 

Verra fatto innanzitutto riferimento alia figura 
9, che mostra uno schema a blocchi del dispositivo di 
controllo di access! secondo la presente invenzione. I 
vari blocchi • di figura 9 verranno qui di seguito 
descritti uno alia volta . 
Elemento 201: 

E' 1' elemento di memorizzazione delle regole di 
riconoscimento dei pattern. L'archivio delle regole di 
riconoscimento e formato leggendo un file oppure ad 
esempio digitando direttamente le regole tramite 
tastiera . 

Si supporra inizialmente che tali regole di 
riconoscimento si presentano quali coppie <tipo di 
dato>/<valore dato> . 

Un pattern per il riconoscimento di una richiesta 
di browsing Internet da parte di un client con 
indirizzo 192.23.40.1 verso un server web di indirizzo 
210.20.20.6 presenta ad esempio la seguente strutturavi 



(ETH PROT, IP) , 
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( IP_SRC_ADDR, 192 .23.40.1), 
(IP_DST_ADDR, 210.20.20.6) , 
(TCP_DST_PORT , HTTP ) 
in cui : 

la prima coppia (ETH_PR0T, IP) indica che il 
protocollo contenuto nel livello Ethernet deve essere 
il protocollo IP; 

la seconda coppia ( IP_SRC_ADDR, 192.23.40.1) indica 
che 1' indirizzo IP di chi invia il pacchetto deve 
essere quello indicato; 

la terza coppia ( IP_DST_ADDR, 210.20.20.6) indica che 
1' indirizzo IP di chi riceve il pacchetto deve essere 
quello indicato; e 

la quarta coppia (TCP_DST_PORT, HTTP) indica che il 
servizio TCP utilizzato e quello HTTP (web) . 

Gli identif icativi posti a destra delle coppie 
possono assumere anche valori non definiti a priori, 
ad esempio nel caso. in cui si vogliano identif icare 
tutti gli indirizzi di una sottorete . In tal caso 
1' indirizzo dell' esempio precedente pud essere 
espresso come 210.20.20.* dove il simbolo * 
(asterisco) indica un valore jolly, vale a dire tutti 
i possibili valori che possono essere presenti in 
quella posizione. , Nell' ambito della stessa coppia 
possono apparire due o piu asterischi: ad esempio 
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210.*. 20.* indicando cosi un insieme di 65536 (o piu) 
indirizzi diversi. Altre forme accettate sono ' ad 
esempio: 2*. 20. 20.* indicando tutti gli indirizzi che 
iniziano con 2 e terminano con un sottoindirizzo tra 0 
e 255 (in totale in questo caso 100*25 6=25 600 
indirizzi diversi) . 

Un ulteriore esempio di pattern per il 
riconoscimento del protocollo IBM NetBios tra due 
elaboratori e il seguente: 

(ETH_PROT, IEE.E8 02) , 

(IEEE802_DST_SAP / IBM_NETBIOS) 

Volendo inoltre forzare anche il riconoscimento delle 
schede di rete (sono 6 bytes che includono il codice 
costruttore della scheda ed il numero della scheda) 
coinvolte nella comunicazione NetBios, il pattern 
diventa : 

(ETH_SRC_ADDR, 0xFF4 5DE7 8 2 2 01 ) , 

(ETH_DST_ADDR, 0xF2 37C8 11 000 F) , 

(ETH_PROT, IEEE802) , 

(IEEE802_DST_SAP, IBM_NETBIOS) . 
Elemento 202: 

E' il compilatore di pattern ed e composto da un 
elemento di conversione delle regole contenute in 201 
in un insieme di seguenze di identif icatori numerici e 
da un elemento di compressione degli identif icatori 
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cosi ottenuti. 

i ) Elemento di conversione 

Le regole di riconoscimento che si presentano 
quali coppie <tipo di dato>/<valore dato> vengono 
convertite in sequenze di identif icatori numerici che 
costituiscono la base di riconoscimento delle trame 
lette da rete . 
Data ad esempio la regola 
(ETH_PROT, IP), 

(IP_SRC_ADDR, 228.18 6.33.90) , 
(IP_DST_ADDR, 41.240.227.149) , 
(TCP_DST_PORT, HTTP) 
abbiamo che : 

a) la prima coppia (ETH_PR0T / IP) viene convertita in 
due coppie di dati in esadecimale (in cui il prefisso 
Ox indica che il valore successivo e rappresentato in 
esadecimale) : 
OxOC 0x0800 
0x49 0x06 
in cui: 

- la prima riga contiene due valori, 0C e 0800. La 
cifra piu a sinistra del primo valore (0) indica "che 
si e in presenza di una trama Ethernet. La seconda 
cifra del primo valore (C) indica la posizione 
all'interno della trama (13° byte, considerando il 
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primo in posizione 0) . II secondo valore (0800) e il 
codice identif icativo del protocollo IP quando 
contenuto in una trama Ehternet; e 

- la seconda riga contiene due valori, 49 e 06. La 
cifra piu a sinistra del primo valore (4) indica che 
si e in presenza di una trama IP. La seconda cifra del 
primo valore (9) indica la posizione all' interno della 
trama. II secondo valore (06) e identif icativo del 
protocollo TCP contenuto in IP. 

b) la seconda coppia ( IP_SRC_ADDR, 228.186.33.90) 
viene convertita in quattro coppie di dati in 
esadecimale : 
0x4C 0xe4 
0x4D Oxba 
0x4E 0x21 

0x4F 0x5a 

in cui ciascuna coppia indica rispettivamente la trama 
IP (4), la posizione (da C ad F) ed il valore di ogni 
singolo element© che costituisce 1' indirizzo del 
trasmettitore (source address) : e4 in esadecimale 
corrisponde infatti a 228 in decimale, ba in 
esadecimale corrisponde a 186 in decimale, 21 in 
esadecimale corrisponde a 33 in decimale e 5a in 
esadecimale corrisponde a 90 in decimale. 

c) la terza coppia ( IP_DST_ADDR / 41.240.227.149) 




39 



(IP_SRC_ADDR, 228.186.33.90), 
(IP_DST_ADDR, 41.240.227.149), 
(TCP_DST_PORT, HTTP) 
si ottiene la sequenza 

OxOC 0x0800, 0x49 0x06, 0x4C 0xe4, 0x4D Oxba, 0x4E 
0x21, Ox4F 0x5a, 0x410 0x29, 0x411 OxfO, 0x412 0xe3, 
0x413 0x95, 0x82 0x0080. 

E' da intendersi che tutte le conversioni fin qui 
descritte sono rese possibili tramite un confronto 
sequenziale di ciascuna delle coppie <tipo di 
dato>/<valore dato> con una tabella memorizzante tutte 
le possibili coppie <tipo di dato>/<valore -.dato> 
unitamente alia corrispondente coppia di valori 
esadecimali . 

In realta per le regole cosi definite puo 
utilizzarsi un formalismo piu esteso, semanticamente 
rappresentabile dalla coppia <oggetto>/<azione> . II 
campo <oggetto> indica l'insieme di proprieta 
(compreso il valore) assunte dall' elemento 

correntemente sotto esame, mentre il campo <azione> 
esprime le azioni da eseguire dope aver riconosciuto 
" tale oggetto nella trama di comunicazione. 

Nelle coppie esadecimali del tipo <tipo di 
dato>/<valore dato> e ad esempio facile notare come il 
campo <tipo di dato> contenga una doppia inf ormazione, 
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vale a dire sia il protocollo (o il tipo di trama) cui 
si fa riferimento, sia anche la posizione all' interno 
di tale protocollo. 

Nel caso di protocolli applicativi complessi, le 
trame rilevate vengono in genere rappresentate tramite 
un linguaggio di tipo LL(1) (vale a dire, secondo la 
definizione di Chomsky, un linguaggio che non presenta 
strutture di controllo e che non presenta limiti per 
la definizione dei meccanismi di interpretazione delle 
strutture informative) . In tale caso il campo <azione> 
fara riferimento ad un insieme minimo di comandi 
elementari, qui riportati : 

- Push 
<valore> 
<variabile> 

<posizione di lettura> 

<valore alia posizione di lettura> 

- Pop 

<variabile> 

<posizione di lettura> 
<nella posizione di lettura> 

- And 

- Mul 

- Add 

- Equal 
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- Next 

- F_send_all 

- F__dynami c 

Qui di seguito viene fornito, a scopo di 
completezza, un breve cenno al significato di tali 
comandi elementari . 

Push <valore> inserisce un valore nello stack 
riservato al processo di riconoscimento in atto, ad 
esempio: PUSH (35), il valore 35 viene messo nello 
stack; 

Push <variabile> inserisce il contenuto di una 
variabile nello stack riservato al processo di 
riconoscimento in atto, ad esempio : PUSH (vl2 ) , se la 
variabile "vl2" vale 8, 8 viene messo nello stack; 

- Push <posizione di lettura> inserisce nello stac 
riservato al processo di riconoscimento in atto ljr 
posizione del valore correntemente da leggere nellc£ 
stream di input, ad esempio PUSH(pos) se pos, 
variabile che indica la posizione di lettura, vale 5, 
allora 5 viene messo nello stack; 

- Push <valore alia posizione di lettura> inserisce 
nello stack riservato al processo di riconoscimento in 
atto il valore letto nello stream di input in fase di 
riconoscimento al posto "posizione di lettura", ad 



42 



esempio PUSH(v_pos), se pos, variabile che indica la 
posizione di lettura, vale 5 e se al posto 5 dello 
stream di input c'e il valore 30, allora 30 viene 
messo nello stack; 

- Pop <variabile> inserisce la testa dello stack nella 
variabile "variabile", ad esempio POP(v3) f se nella 
testa dello stack e stato inserito il valore 10, 
significa che 1' ultima operazione fatta con lo stack e 
stata ad esempio push(10), il valore 10 va nella 
variabile "v3 n ; 

- Pop <posizione di lettura> inserisce la testa dello 
stack nella variabile che indica la prossima posizione 
da leggere nello stream di input, ad esempio POP (pos) 
, se nella testa dello stack e stato inserito il valore 
10, il prossimo elemento che verra letto dallo stream 
di input sara quello in posizione 10; 

- Pop <nella posizione di lettura> inserisce la testa 
dello stack nella posizione indicata dalla variabile 
che indica la prossima posizione da leggere nello 
stream di input, ad esempio P0P(v_pos) , se nella testa 
dello stack e stato inserito il valore 10, il prossimo 
elemento che verra letto dallo stream di input avra 
valore 10; 

- And, Mul, Add, Or, Sub sono tutte operazioni 
aritmetiche e logiche . L 1 operazione viene svolta sui 
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valori contenuti nelle prime due posizione dello 
stack-, il risultato diventa la testa dello stack e i 
due valori utilizzati sono tolti dallo stack; esempio: 
le operazioni logico aritmetiche seguono la notazione 
polacca inversa (RPN) . Supponiamo di dover eseguire 
l'operazione 10*30: il programma che ne consegue avra 
la seguente forma : 
PUSH (10) 
PUSH (30) 
MUL 

ora, nella testa dello stack c'e 300=30*10. 
- Equal <valore>, Equal <variabile>, Equal <posizione 
di lettura> / Equal <valore nella posizione di lettura> 
verifica se nella testa dello stack c'e un valore 
uguale a quello passato come parametro . II risultato 
(0 se diversi, 1 se uguali) viene messo nella testa 
dello stack; 

f send_all e una funzione che, quando eseguita, 
riporta verso 1 1 output l'intero stream di input ; 

Next <valore>, Next <variabile> incrementa di 
"valore" oppure del valore contenuto nella "variabile" 
la variabile che indica la posizione nello stream di 
input dove leggere il prossimo valore; ed infine 

f_dynamic ( "nome") esegue la funzione "nome" 
collegata all'elemento di coordinamento attraverso 
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meccanismi di collegamento dinamico (tipo DLL di 
windows oppure shared_li'braries ' di UNIX oppure 
meccanismi RPC di DCE, . ..) passandogli come parametri 
i valori contenuti nello stack. 

Una possibile sintassi implementativa (ripresa 
dal linguaggio C) dell' insieme delle coppie 
<oggetto>/<azione> potra essere la seguente: 
typedef struct _i t em { 

unsigned char oggetto; 

unsigned long int azione; 

} Item; 

typedef struct ^record { 

int num_of_items; 

Item * items; . 
} Record; 

Record * input_seconda_f ase ; 
in cui: 

- il campo "oggetto" e stato espresso come un singolo 
byte ("unsigned char"). Una tale scelta non comporta 
limitazioni in quanto un valore intero (lungo da 2 a 4 
byte) puo essere considerato come una sequenza di byte 
e quindi puo essere trattato un byte alia volta; e 
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- il campo "azione" e stato espresso come "unsigned 
long int". Pud quindi rappresentare sia un numero 
( compatibile con la prima notazione) sia come 
puntatore ad una struttura o insieme di funzioni 
(compatibile con la seconda notazione) . 

II numero di sequenze diverse e in genere molto 
elevato. A titolo di esempio, considerando 
esclusivamente il protocollo TCP-IP, per un numero 
relativamente esiguo di 1000 "clients" (cioe di 
elaboratori che utilizzano servizi applicativi resi 
disponibili da altri elaboratori) e di 10 "servers" 
(cioe di elaboratori che forniscono i servizi 
applicativi ai clients) e di una media di 10 servizi 
applicativi per "server" (quali - ad esempio FTP, 
TELNET, HTTP, MAIL, NFS, TIME, DNS), al fine di 
distinguere tutti i possibili "accoppiamenti " tra" 
client-server-servizio, e necessario definire regole 
atte ad indicare 1000*10*10=100000 sequenze diverse'^ di 
pattern nelle trame di comunicazione . x < 

Questo numero, gia ben al di sopra delle 
dimension! ritenute accettabili per le tavole interne 
di indirizzamento dei router e dei firewall 
commerciali, cresce in modo molto rapido quando si 
vanno a definire regole che agiscono non solo a 
livello di parte di controllo dei protocolli di 
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comunicazione ma anche a livello di parte dati, 
secondo quanto accade nella presente invenzione. 

II linguaggio delle regole sopra definito 
consente di redigere regole che permettono di 
identificare elementi della parte dati dei protocollo 
di comunicazione: se si vuole infatti non soltanto 
"identificare" un "client" ma anche quando questo su 
rete cerca di accedere ad una particolare pagina WEB 
(cosa del tutto possibile tramite la presente 
invenzione), non e sufficiente agire a livello di 
parte di controllo del protocollo di comunicazione (si 
riuscirebbe a riconoscere solo il fatto che e stato 
inviato un comando a livello di servizio HTTP) ma e 
necessario agire a livello di parte dati del 
protocollo TCP-IP al fine di identificare la 
particolare stringa che determina l f accesso alia 
pagina WEB richiesta dal client. 

ii) Elemento di compressione dell'insieme di sequenze 
ottenute in una struttura dati ad accesso diretto 

Tale secondo elemento del compilatore di pattern 
202 permette una costruzione della struttura dati di 
compressione che e in grado di garantire un tempo di 
accesso costante (indipendente cioe dalla numerosita 
delle sequenze) ed un' occupazione di memoria ottimale 
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(pari cioe, a meno di una costante moltiplicativa, 
alia quantita di memoria necessaria per memorizzare le 
sequenze in modo non strutturato) per il 
riconoscimento delle sequenze memorizzate in tale 
struttura nelle trame di comunicazione che si leggono 
da rete . 

Verra in particolare fatto riferimento agli 
articoli : 

a) "Time Optimal Digraph Browsing on a Sparse 
Representation", Tech. Report, Dipartimento di 
Matematica, Universita di Roma "Tor Vergata", 8/97, 

1997 di M. Talamo e P. Vocca; 

b) "Optimal Bounds on Complexity of Sparse Partial 
Orders", Tech. Report Dipartimento di Matematica, 
Universita di Roma "Tor Vergata", 9/97, 1997 di M. 
Talamo e P. Vocca; 

c) "Optimal Digraph Search on a Compressed 
Representation", Tech. Report Dipartimento di 
Matematica, Universita di Roma "Tor Vergata", 11/98, 

1998 di M. Talamo e P. Vocca; e 

d) "Compact Implicit Representation of Graphs", 
proceedings WG98, giugno 1998 di M. Talamo e P. Vocca. 

In tali scritti si rappresentano strutture dati 
che permettono una accessibility a tempo costante, 
vale a dire indipendente dalla numerosita di dati che 
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queste rappresentano . 

1/ algoritmo per l 7 ottenimento di tali strutture 
di dati si applica a strutture di ingresso del tipo a 
"grafo bipartito", come ad esempio rappresentato in 
figura 10A. In tale grafo i nodi possono essere 
distinti in due sottoinsiemi distinti (da A ad E e da 

0 a 4 in figura) , in maniera tale che ciascun nodo 
appartenente ad un primo sottoinsieme possa essere 
connesso solamente a nodi appartenenti al secondo 
sottoinsieme e viceversa. Con riferimento alia figura 
10A, il nodo A e connesso al nodo 0 ed al nodo 2, il 
nodo B e connesso al nodo 0 ed al nodo 2, il nodo C e 
connesso al nodo 1 ed al nodo 4, il nodo D e connesso 
al nodo 3 ed il nodo E e connesso al nodo 3. 

Tali connessioni possono essere espresse mediante 
una matrice bidimensionale del tipo riportato in 
figura 10B, ove con il simbolo x sono state riportate 
le connessioni attive tra righe e colonne . Si pud 
pertanto concludere che i grafi bipartiti sono 
equivalenti alle matrici bidimensionali e che pertanto 

1 risultati di accessibility a tempo costante ottenuti 
con riferimento all' articolo sopra citato possono 
applicarsi anche a strutture quali matrici 
bidimensionali. 

L'elemento di compressione sara pertanto tale da 
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comprimere le sequenze ottenute tramite 1'elemento di 

conversione e da generare una molteplicita di matrici 

bidimensionali indicative di tali sequenze. 

+ * ★ 

L' algoritmo tramite il quale 1'elemento di 
compressione opera, qui di seguito presentato, (da 
PASSO 1 a PASSO 11) e da intendersi implementato in un 
qualsiasi linguaggio di programmazione adatto alio 
scopo (ad esempio in linguaggio C) e memorizzato 
all'interno di una ROM. 

L' input dell' algoritmo consiste nella sequenza di 
identif icativi numerici (record) a lunghezza variabile 
precedentemente specif icata . 

Congiuntamente ai vari passi dell' algoritmo , si 
riportera a livello esemplif icativo un ciclo completo 
di compilazione per un particolare caso pratico, al 
fine di descrivere in maniera compiuta le modalita 
operative dell' algoritmo stesso. A scopo 

esemplif icativo si continuera a fare riferimento a 
strutture di comunicazione del tipo Ethernet. E ' da 
intendersi che il f unzionamento del dispositivo di 
controllo secondo la presente invenzione resta 
inalterato anche nel caso in cui 1' apparecchio di 
rilevamento ed interpretazione non fornisca trame 
Ethernet rilevate sulla rete ma fornisca direttamente 

*." t t ! 
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comunicazioni a livello TCP/IP o comunque stream di 
dati anche molto lunghi . 

PAS SO 1 (specifica regole predefinite, si veda anche 
la f igura 11 ) : 

Si supponga di dover gestire e coordinare trame di 
comunicazione a livello Ethernet tramite i seguenti 
schemi di connettivita : 

connessione a) 132.147.2 00.10 potra connettersi a 

132.147.160.1 solamente per il servizio: 

- WWW servizio TCP 80. 

connessione b) 132.147.200.10 potra connettersi a 

132.147.160.2 solamente per i servizi: 

- SMTP servizio TCP 25; 

- NETBIOS servizi TCP 137, 138 e 139. 

connessione c) 132.147.200.20 potra connettersi a 

132.147.160.1 solamente per i servizi: 

- FTP servizio TCP 20 e 21; 

- TELNET servizio TCP 23. 

connessione d) 132.147.200.20 potra connettersi a 

132.147.160.2 solamente per i servizi: 

- SMTP servizio TCP 25; 

- WWW servizio TCP 80. 

connessione e) 132.147.200.20 potra connettersi a 

132.147.160.3 solamente per-i servizi: 

- WWW servizio TCP 80; 
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- SNMP servizi TCP 161 e 162; 

- NFS servizio TCP 2049; 

- TELNET servizio TCP 23. 

Inoltre dovranno essere ammesse tutte le comunicazioni 
di tipo ARP (protocollo a livello Ethernet) e ICMP 
(protocollo a livello IP) . 

PASSO 2 (conversione regole in un insieme di 

sequenze) : 

In base a tale schema di connessione si ottiene un 
insieme di 17 record (in cui ogni record e formato da 
un insieme di ' coppie <oggetto>/<azione>) . m 
particolare, il record 1 rappresenta la connessione 
a), i record da 2 a 5 rappresentano la connessione b), 
i record da 6 a 8 rappresentano la connessione c) , i 
record da 9 a 10 rappresentano la connessione d) , i 
record da 11 a 15 rappresentano la connessione e) , il 
record 16 rappresenta il protocollo ARP in Ethernet ed 
infine il record 17 rappresenta il protocollo ICMP in 
IP. 

Connessione a) 
RECORD l 
0x08, OxOOOC 

0x00, OxOOOD protocollo IP in Ethernet 



SJ.B. 

ROMA 
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0x06, 0x4009 protocollo TCP in IP 



0x84 , 


0x400C 




0x93, 


0x400D 




0xC8 , 


0x400E 




OxOA, 


0x400F 


132 . 147 . 200 . 10 


0x84, 


0x4010 




0x93, 


0x4011 




OxAO, 


0x4012 




0x01, 


0x4013 


132.147.160.1 


0x00, 


0x8002 




0x50, 


0x8003 


WWW 8 0 


Connessione b) 




RECORD 2 




0x08, 


OxOOOC 




0x00, 


OxOOOD 


protocollo IP in Ethernet 


0x06, 


0x4009 


protocollo TCP in IP 


0x84, 


0x400C 




0x93, 


0x400D 




0xC8, 


0x400E 




OxOA, 


0x400F 


132.147.200.10 


0x84, 


0x4010 




0x93, 


0x4011 




OxAO, 


0x4012 




0x02, 


0x4013 


132.147.160.2 
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0x00, 


0x8002 




0x19, 


0x8003 


SMT P 25 


RECORD 3 




0x08, 


OxOOOC 




0x00, 


OxOOOD 


U1ULUOU11U J. IT JL 1 1 O LIlCI lie L 


0x06, 


0x4009 


pru LUUO±l(J JL v.,- XT XII _L t 


0x84, 


0x400C 




0x93, 


Ox400D 




0xC8, 


0x400E 




OxOA, 


Ox400F 


i^o t/i*7 onn in 


0x84, 


0x4010 




0x93, 


0x4011 




OxAO, 


0x4012 




0x02, 


0x4013 


1 *5 9 1 Zl "7 i £ n 9 
JL O i£ . ± 4 / . lOU . z 


0x00, 


0x8002 




0x89, 


0x8003 




RECORD 4 




0x08, 


OxOOOC 




0x00, 


OxOOOD 


protocollo IP in Ethernet 


0x06, 


0x4009 


protocollo TCP in IP 


0x84, 


0x400C 




0x93, 


Ox400D 




0xC8 , 


0x400E 
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OxOA, 


Ox400F 


0x84, 


0x4010 


0x93, 


0x4011 


Ox AO, 


0x4012 


0x02, 


0x4013 


0x00, 


0x8002 


Ox8A, 


0x8003 



RECORD 5 


0x08, 


OxOOOC 


0x00, 


OxOOOD 


0x06, 


0x4009 


0x84, 


0x400C 


0x93, 


Ox400D 


0xC8, 


0x400E 


OxOA, 


0x400F 


0x84, 


0x4010 


0x93, 


0x4011 


OxAO, 


0x4012 


0x02, 


0x4013 


0x00, 


0x8002 


Ox8B, 


0x8003 



132.147.200.10 



132 .147 . 160. 2 



NETBIOS 138 



protocollo IP in Ethernet 
protocollo TCP in IP 



132.147.200.10 



132.147.160.2 



NETBIOS 139 



Connessione c) 
RECORD 6 
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0x08, OxOOOC 

0x00, OxOOOD 

0x06, 0x4009 

0x84, Ox400C 

0x93, Ox400D 

OxC8, Ox400E 

0x14, Ox400F 

0x84, 0x4010 

0x93, 0x4011 

OxAO, 0x4012 

0x01, 0x4013 

0x00, 0x8002 

0x14, 0x8003 

RECORD 7 
0x08, OxOOOC 
0x00, OxOOOD 
0x06, 0x4009 
0x84, Ox400C 
0x93, Ox400D 
0xC8, Ox400E 
0x14, 0x400F 
0x84, 0x4010 
0x93, 0x4011 
OxAO, 0x4012 



protocollo IP in Ethernet 
protocollo TCP in IP 



132.147.200.20 



132.147.160.1 



FTP 20 



protocollo IP in Ethernet 
protocollo TCP in IP 



132.147.200.20 
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0x01, 


0x4013 


132.147.160.1 


0x00, 


0x8002 




0x15, 


0x8003 . 


FTP 21 


RECORD 8 




0x08 , 


OxOOOC 




0x00, 


OxOOOD 


protocollo IP in Ethernet 


0x06, 


0x4009 


protocollo TCP in IP 


0x84, 


0x400C 




0x93, 


0x400D 




0xC8, 


0x400E 




0x14, 


0x400F 


132 . 147 . 200 .20 


0x84, 


0x4010 




0x93, 


0x4011 




OxAO, 


0x4012 




0x01, 


0x4013 


132.147.160.1 


0x00, 


0x8002 




0x17, 


0x8003 


TELNET 23 


Connessione d) 




RECORD 9 




0x08, 


0x000c" 




0x00, 


OxOOOD 


protocollo IP in Ethernet 


0x06, 


0x4009 


protocollo TCP in IP 


0x84, 


0x400C 
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0x93, 0x400D 
0xC8, 0x400E 
0x14, 0x400F 



0x84, 


0x4010 


0x93, 


0x4011 


OxAO, 


0x4012 


0x02, 


0x4013 


0x00, 


0x8002 


0x19, 


0x8003 


RECORD 10 


0x08 , 


OxOOOC 


0x00, 


OxOOOD 


0x06, 


0x4009 


0x84, 


0x400C 


0x93, 


0x400D 


0xC8, 


Ox400E 


0x14, 


0x400F 


0x84, 


0x4010 


0x93, 


0x4011 


OxAO, 


0x4012 


0x02, 


0x4013 


0x00, 


0x8002 


0x50, 


0x8003 



132.147.200.20 



132.147.160.2 
SMTP 2 5 



protocollo IP in Ethernet 
protocollo TCP in IP 



132.147.200.20 



132.147.160.2 



WWW 8 0 
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Connessione e) 




RECORD 11 




r\ ■** r\ o 
0X0 O f 


UXUUUL 




r\ it c\ r\ 

0x0 0 , 


c\ r\ r\ r\ v\ 
0X00 OD 


protocollo IP in Ethernet 


0x0 6 , 


0x4 0 0 3 


protocollo TCP in IP 


0x8 4 f 


0x4 0 0C 




0x93 , 


0x4 0 0D 




0xC8 , 


0x4 00E 




0xl4 7 


0x400F 


132.147.200.20 


0x84, 


0x4010 




0x93, 


0x4011 




OxAO, 


0x4012 




0x03 , 


0x4013 


132 .147. 160.3 


0x00, 


0x8002 




0x50, 


0x8003 


WWW 8 0 


RECORD 12 




0x08 , 


OxOOOC 




0x00, 


OxOOOD 


protocollo IP in Ethernet 


0x06, 


0x4009 


protocollo TCP in IP 


0x84, 


0x400C 




0x93,: 


0x400D 




0xC8 , 


0x400E 




0x14, 


0X400F 


132.147.200.20 


0x84, 


0x4010 
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0x93, 


0x4011 




OxAO, 


0x4012 




0x03, 


0x4013 


132 147 160 3 


0x00, 


0x8002 




OxAl, 


0x8003 


SNFMP 161 


RECORD 13 




0x08 , 


Oxonnr 




0x00, 


OxOOOD 


pi u tu uuj.jLo _L tr in LLnerne t 


0x06, 


0x4009 


T" ^ 'f" /" T 1 f\ T 1 f 1 D -I « TD 
piULOCUllU ±^ir in J_ IT 


0x84, 


Ox400C 




0x93, 


Ox400D 




0xC8, 


0x400E 




0x14, 


Ox400F 




0x84, 


0x4010 




0x93, 


0x4011 




Ox AO, 


0x4012 




0x03, 


0x4013 


132.147.160.3 


0x00, 


0x8002 




0xA2, 


0x8003 


SNMP 162 



RECORD 14 



0x08, OxOOOC 
0x00, OxOOOD 
0x06, 0x4009 



protocollo IP in Ethernet 
protocollo TCP in IP 
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0x84, 


0x400C 


0x93, 


0x400D 


0xC8, 


Ox400E 


0x14, 


0x400F 


0x84, 


0x4010 


0x93, 


0x4011 


OxAO, 


0x4012 


0x03, 


0x4013 


0x08, 


0x8002 


0x01, 


0x8003 


RECORD 15 


0x08 , 


OxOOOC 


0x00, 


OxOOOD 


0x06, 


0x4009 


0x84, 


0x400C 


0x93, 


0x400D 


0xC8, 


0x400E 


0x14, 


0x400F 


0x84, 


0x4010 


0x93, 


0x4011 


OxAO, 


0x4012 


0x03, 


0x4013 


0x00, 


0x8002 


0x17, 


0x8003 



132.147.200.20 



132 . 147 . 160. 3 
NFS 2049 



protocollo IP in Ethernet 
protocollo TCP in IP 



132.147.200.20 



132 .147 . 160. 3 
TELNET 23 
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ed infine 



RECORD 16 



0x08, 



OxOOOC 



0x06, 



OxOOOD 



protocollo ARP in Ethernet 



RECORD 17 



0x08 , 



OxOOOC 



0x00, 



OxOOOD 



protocollo IP in Ethernet 



0x01, 



0x4009 



protocollo ICMP in IP 



La struttura cosi ottenuta pud essere espressa in 
forma matriciale , secondo la rappresentazione di 
f igura 12 . Si noti come i vari record possono avere 



lunghezza 13, 1 record di lunghezza 2 ed 1 record di 
lunghezza 3. 

PASSO 3 : 

Si pone CONT = 0 
PASSO 4 : 

Si prende la colonna 0 e la colonna CONT della 
sequenza sopra riportata e si costruisce una nuova 
sequenza di record che contengono solo 2 item (quello 



lunghezze diverse . 



Si hanno infatti 15 record di 



in colonna 0 e quello in colonna 
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PAS SO 5 : 

Da questa nuova sequenza di record si eliminano i 
duplicati . 

PAS SO 6 : 

Si pone RIGA=0 

PASSO 7 : 

Con la nuova sequenza di record si costruisce un graf o 
bipartito pesato inserendo per ogni record: 

- il valore dell' item in posizione .0 (id del nodo 
superiore) ; 

- il valore dell' item in posizione CONT (id del nodo 
inf eriore ) ; 

- l'azione dell' item in posizione CONT (quale primo 
peso dell'arco tra i due nodi); 

- RIGA (quale secondo peso dell'arco tra i due nodi). 
Inoltre, per ogni coppia di nodi inserita, si 
sosti.tuisce al valore dell' item in posizione 0 nella 
sequenza di record originale il nuovo valore RIGA e si 
pone RIGA=RIGA+1 . 

PASSO 8 : 

Si converte il grafo bipartito cosi ottenuto in una 
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matrice bidimensionale ed in un vettore tramite 
utilizzo dell' algoritmo di base di cui alle 
pubblicazioni sopra menzionate. Si noti comunque che 
1' algoritmo qui descritto costituisce un' estensione di 
tale algoritmo di base, in particolare per quanto 
riguarda il precedente passo 7. 

PASSO 9 : 

Si memorizzano la matrice bidimensionale ed il 
vettore. 

PASSO 10 : 

Si pone CONT=CONT+l 
PASSO 11 : 

Se CONT non e pari al numero massimo di item dei 
record, si torna al passo 4, altrimenti 1' algoritmo e 
terminate 

La sequenza di matrici bidimensionali e vettori 
costituisce la struttura dati compressa che sara 
utilizzata per il riconoscimento degli stream di 
ingresso. Tale struttura e accessibile in maniera 
diretta. 

Si fara d'ora in poi nuovamente riferimento alia 
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figura 9. 

' Elemento 203 (Memoria contenente i pattern compressi) : 

Tale elemento e costituito dalla sequenza di 
matrici ottenute come risultato dell' algoritmo di 
compressione di cui sopra. Grazie all'elevato grado di 
compressione di tale algoritmo, la dimensione di 
questa sequenza di matrici e direttamente 
proporzionale al numero di connessioni attive della 
matrice originale e quindi e direttamente 
memorizzabile in memoria centrale. In caso di elevata 
numerosita di connessioni attive (>100 . 000 . 000 ) e 
possibile gestire tale sequenza di matrici compresse 
tramite dispositivi di memoria di massa. 
Elemento 204 (Riconoscitore dei pattern) : 

Tale elemento permette il confronto tra le trame 
applicative da riconoscere rilevate tramite 1' elemento 
205 e la struttura dati ad accesso diretto memorizzata 
in 203. 

L' elemento 204 e realizzato in un microchip ed e 
sostanzialmente costituito da un software che 
implementa una tecnica di accesso diretto su matrici, 
al fine di accedere alle matrici memorizzate in 203. 

Si e pertanto in grado di riconoscere in modo 
completamente deterministico 1' accettabilita o la non 
accettabilita della trama letta da rete . 
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Al fine di fornire un esempio dettagliato del 
funzionamento di tale riconoscitore, viene qui di 
seguito innanzitutto riportata " la struttura delle 
matrici memorizzate in 203, tramite utilizzo di una 
sintassi simile a quella del linguaggio C: 
/ / Struttura per una Matrice bidimensionale ed un 
vettore 

typedef struct _matrici_AB { 

unsigned long int row_a; 
matrice 

unsigned long int col_a; 
della matrice 

unsigned long int col__b; 
del vettore 

unsigned long int **mA; 

Azione ***mP; 

unsigned long int *mB; 
} mat AB; 



//Numero di righe della 

//Numero di colonne 

//Numero di element! 

/ /Matrice dei valori 
//Matrice delle Azioni 
//Vettore 



typedef struct _vec_matrici_AB { 

mat_AB * MAB; //Insieme delle matrici e 

dei vettori 

unsigned long int num_mab; //Numero delle matrici 



e dei vettori 



-'--/'AO , 
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} * Vec_mat_AB; 

Si riportano poi qui di seguito cinque record di 
ingresso e le matrici risultanti. In tale esempio la 
descrizione dei record viene fatta tramite la sintassi 
<oggetto>/<azione> precedentemente riportata . Le 
azioni associate sono estremamente semplif icate (una 
sola azione per ogni riconoscimento ) . Per semplicita 
si suppone inoltre che il riconoscimento inizi sempre 
dal primo byte dello stream in ingresso. 

RECORD 1 
0x01 next(l) 
0x03 next(l) 
0x02 f_send_all 
RECORD 2 
0x01 next(l) 
0x06 next (1) 
0x04 f_send_all 
RECORD 3 
0x02 next(l) 
0x07 next(l) 
0x03 f_send__all 
RECORD 4 



0x01 next(l) 
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0x02 f_send_all 
RECORD 5 
0x05 next(l) 
0x01 f send all 



Per next(l) si intende 1'azione di 
sul prossimo byte nello stream di dati. 
si intende l'azione di inoltro verso 
tutto lo stream di dati. 

Tramite 1' algoritmo precedentemente descritto si 
viene ad ottenere la seguente struttura matriciale: 



1 


MATRICE 


DEI 


MATRICE 


DELLE 


VETTORE 


B 




VALORI 




AZIONI 




X 0 0 X 


X 0 




0 : [ 


X ] 


(1/ 


0) 








1: [ 


0 ] 


NEXT (1) 










2: [ 


1 ] 


. (2, 


0) 








3: [ 


x ] 


NEXT ( 1 ) 










4 : [ 


x ] 




0) 








5 : [ 


2 ] 


NEXT ( 1 ) 








2 


MATRICE 


DEI 


MATRICE 


DELLE 


VETTORE 


B 




VALORI 




AZIONI 




0 0 0 






0: [ 


X ] 


(1, 0) 









posizionamento 
Per f_send_all 
1' esterno di 
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1 : t 


4 


] 


F_SEND_ALL 








2 : [ 


0' 


] 


(2, 0) 








3 : [ 


1 


] 


F_SEND_ALL 








4 : [ 


X 


] 


(3, 0) NEXT(l) 








5 : [ 


X 


] 


(6, 0) NEXT(l) 








6: [ 


2 


] 


( 7 , 0 ) NEXT ( 1 ) 








7 : [ 


3 


] 








3 


MATRICE 


DEI 




MATRICE DELLE 


VETTORE 


B 




VALORI 






AZIONI 


0 0 0 0 


1 




0: [0 


4 ] 




(2, 0) 








1: [X 


X ] 




F_SEND_ALL 








2 : [1 


X ] 




(3, 0) 








3: [3 


X ] 




F_SEND_ALL 








4 : [2 


X ] 




(4, 0) 
F_S END__ALL 







Per non appesantire la presente descrizione non 
verranno qui descritte nel dettaglio le varie 
operazioni (in fondo semplici applicazioni 

dell' algoritmo sopra descritto) che portano dai record 
alia struttura matriciale ora graf icata. A scopo di 
chiarezza, la matrice dei valori e stata poi 
rappresentata fisicamente separata dalla matrice delle 



69 



azioni . 

Verranno invece descritte in dettaglio le 
operazioni di confronto che vengono eseguite al fine 
di riconoscere o meno gli stream di dati rilevati . 
Tali operazioni si riferiscono al caso particolare 
della struttura matriciale di cui sopra. 

1) ESEMPIO DI RICONOSCIMENTO NEL CASO IN CUI LO STREAM 
SIA IDENTICO AL RECORD 1: 0x01 0x03 0x02 
II primo valore letto e 01. 

Essendo nella condizione iniziale lo si usa sia 
come indice della matrice che del vettore. 

La coppia Matrice/Vettore che si utilizza e nella 
posizione 1 dell' elenco sopra riportato . 

L' indice di riga della matrice A viene 
determinato dall' elemento letto, vale a dire Riga A 
=01, cioe la prima riga . 

L' indice di colonna della matrice A viene 
determinato dal valore contenuto dal vettore B nella 
posizione corrispondente all' elemento letto, vale a 
dire Colonna A =B[Ox01]=0, cioe la zeresima colonna. 

Si andra pertanto a leggere il valore riportato 
in A[l, 0] e cioe 0. Tale valore costituisce il 
prossimo indice del vettore B. 

Si andra poi a leggere l'azione riportata in A[l, 
0] vale a dire il valore numerico corrispondente 
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all'azione next(l) . 

Verra pertanto eseguita la sucidetta azione e 
dunque ci si posizionera sul prossimo valore dello 
stream di dati. 

Si andra al prossimo valore e si utilizzera 
quindi la coppia Matrice/Vettore che e nella posizione 
2 dell' elenco sopra riportato . 

II valore letto e 03. 

L' indice di riga della matrice A viene 
determinato dall' elemento letto, vale a dire Riga A 
=03, cioe la terza riga. 

L' indice di colonna della matrice A viene 
determinato dal valore contenuto dal vettore B nella 
posizione corrispondente al valore riportato in A[l, 
0] ottenuto nel passo precedente (e cioe 0) . Colonna A 
=B[0]=0, cioe la zeresima colonna. 

Si andra pertanto a leggere il . valore riportato 
in A [3, 0] e cioe 1. Tale valore costituisce il 
prossimo indice del vettore B. 

Si andra poi a leggere 1' azione riportata in A[3, 
0] vale a dire il valore numerico corrispondente 
all'azione next(l). 

Verra pertanto eseguita la suddetta azione e 
dunque ci si posizionera sul prossimo valore dello 
stream di dati. 
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Si andra al prossimo valore e si utilizzera 
quindi .la coppia Matrice/Vettore che e nella posizione 
3 dell'elenco sopra riportato. 

II valore letto e 02. 

L' indice di riga della matrice A viene 
determinato dall ' elemento letto, vale a dire Riga A 
= 02, cioe la seconda riga. 

L' indice di colonna della matrice A viene 
determinato dal valore contenuto dal vettore B nella 
posizione corrispondente al valore riportato in A [3, 
0] ottenuto nel passo precedente (e cioe 1) . Colonna A 
=B[1]=0, cioe la zeresima colonna. 

Si andra pertanto a leggere il valore riportato 
in A[2, 0] e cioe 1. Tale valore costituisce il 
prossimo indice del vettore B. 

Si andra poi a leggere l'azione riportata in A[2, 
0] vale a dire il valore numerico corrispondente 
all'azione f_send_all. Cio significa che e awenuto il 
riconoscimento . 

2) ESEMPIO DI RICONOSCIMENTO NEL CASO IN CUI LO STREAM 
SIA DIVERSO DAI RECORD: 0x04 0x01 
II primo valore letto e 04 . 

Essendo nella condizione iniziale lo si usa sia 
come indice della matrice che del vettore. 

La coppia Matrice/Vettore che si utilizza e nella 
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posizione 1 dell'elenco sopra riportato. 

L' indice di riga della matrice A viene 
determinate dall' elemento letto, vale a dire Riga A 
=04, cioe la quarta riga. 

1/ indice di colonna della matrice A viene 
determinate dal valore contenuto dal vettore B nella 
posizione corrispondente all' elemento letto, vale a 
dire Colonna A =B[04]=X. Lo stream non viene pertanto 
riconosciuto . 

3) ESEMPIO DI RICONOSCIMENTO NEL CASO IN CUI LO STREAM 
SIA DIVERSO DAI RECORD: 0x01 0x05 0x03 
II primo valore letto e 01. 

Essendo nella condizione iniziale lo si usa sia 
come indice della matrice che del vettore. 

La coppia Matrice/Vettore che si utilizza e nella 
posizione 1 dell'elenco sopra riportato. 

L' indice di riga della matrice A viene 
determinate dall' elemento letto, vale a dire Riga A 
=01, cioe la prima riga. 

L' indice di colonna della matrice A viene 
determinate dal valore contenuto dal vettore B nella 
posizione corrispondente all' elemento letto, vale a 
dire Colonna A =B[0x01]=0, cioe la zeresima colonna. 

Si andra pertanto a leggere il valore riportato 
in A[l, 0] e cioe 0. Tale valore costituisce il 
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prossimo indice del vet tore B . 

Si andra poi a leggere 1' azione riportata in A[l, 
0] vale a dire il valor e numerico corrispondente 
all' azione next(l) . 

Si andra pert ant o al prossimo valor e e si 
utilizzera quindi la coppia Matrice/Vettore che e 
nella posizione 2 dell'elenco sopra riportato. 

II valore letto e 05. 

L' indice di riga della matrice A viene 
determinato dall' element o letto , vale a dire Riga A 
=05, cioe la quinta riga. 

L' indice di colonna della matrice A viene 
determinato dal valore contenuto dal vet tore B nella 
posizione corrispondente al valore riportato in A[l, 
0] ottenuto nel passo precedente. Colonna A =B[0]=0. 

Bisognera pertanto andare a leggere il valore 
riportato in A[5, 0] e cioe X. Lo stream non viene 
pertanto riconosciuto . 

II riconoscitore di pattern, quindi, usando una 
tecnica ad accesso diretto su matrici, facilmente 
implementabile in un microchip e in grado di 
riconoscere in modo completamente deterministico 
1' accettabilita o la non accettabilita dello stream in 
ingresso in un numero di accessi a matrici e vettori, 
pari al numero degli elementi riconosciuti nello 
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stream stesso 

* * * 

Si fara d' ora in poi nuovamente rif erimento alia 
figura 9. 
Elemento 205: 

E' la componente di rilevamento ed acquisizione 
delle trame di comunicazione .* Tramite questo 
apparecchio, un esempio del quale e gia stato 
descritto in dettaglio con rif erimento alle precedenti 
figure da 4 ad 8B, viene resa possibile 1' acquisizione 
di dati anche a livello applicativo, vale a dire 
1' inf ormazione relativa ai livelli 4-7 dello standard 
OSI. Tale apparecchio potra accettare comandi quali i 
comandi CONNECT, SEND, RECEIVE e CLOSE nel caso in cui 
si debbano gestire e coordinare protocolli applicativi 
di alto livello . 

Elemento 206 (Controllo accessi) : 

Questo elemento, a partire dal risultato di 
riconoscimento operato dall' elemento 204, esegue 
1'azione di inoltro associata a tale riconoscimento 
oppure 1'azione di rifiuto associata al non 
riconoscimento . 

Nel caso di accettazione la trama di 
comunicazione verra inoltrata al server di 
rif erimento. • • 
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Nel caso di rifiuto, la trama di comunicazione 
verra rispedita al mittente, unitamente alle eventuali 
motivazioni del rifiuto. Infatti, grazie alia 
struttura <oggetto>/<azione> adottata, sara possibile 
associare azioni, anche complesse, quali la 
costruzione di stream di risposta. 
Elemento 207 (Coordinamento accessi) : 

Questo elemento, a partire dal risultato di 
riconoscimento operato dall ' elemento 204, esegue 
l'azione di coordinamento associata a tale 
riconoscimento . 

Tale azione di coordinamento riguarda 
I'individuaziorie dei parametri da inviare al server 
per il coordinamento richiesto, 1' individuazione del 
server, la f ormattazione dei parametri da inviare, 
l'invio dei parametri, 1' acquisizione della risposta 
dal server e l'inoltro della risposta ottenuta 
all' elemento 204 per l'eventuale prosecuzione del 
riconoscimento . 

Questo approccio e reso possibile dall'uso della 
seconda notazione introdotta in quanto grazie a questa 
notazione e possibile associare azioni, anche 
complesse, quali la costruzione di stream da inoltrare 
a particolari server accessibili da rete. L' elemento 
di coordinamento ha un suo senso compiuto quando si 
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utilizzi lo strumento per la gestione di comunicazioni 
tra applicazioni e quindi su protocolli ad alto 
livello (quali quelli tra applicazioni client e server 
trasportati a livello TCP) . " In tal caso, infatti, lo 
strumento, grazie alle azioni associate al 
riconoscimento degli stream di ingresso, pud operare 
trasf ormazioni dello stream per il suo reinoltro ad 
altre applicazioni server che prevedono protocolli 
applicativi diversi. Un tipico caso e quando si deve 
gestire 1' interoperabilita e la cooperazione 
applicativa in un contesto eterogeneo e devono 
coesistere differenti "server applicativi" o 
differenti dispositivi di mediazione (broker) (facendo 
in questo caso riferimento anche alle diverse 
implementazioni di CORBA -Common Object Request Broker 
Architecture- che non sono mai completamente 
compatibili tra loro) a f ronte di applicazioni utente 
(client) spesso progettate per dialogare utilizzando 
protocolli applicativi non aggiornati . 

La presente invenzione e stata fin qui descritta 
con riferimento ad una sua forma di i/e>alizzazione 
illustrata a scopo esemplif icativo e non limitative 

E' da intendersi inoltre che altre sj 
di realizzazione possibili rientranti 
della presente privativa industriale. 

Giorgio Strini 
(Iscr. Aibo n. 452 BMJ 



forme 
ambito 




>: ;:<>:' <f v « £w>j$ 
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ft M 98 A 0 00 542 



RIVENDICAZIONI 



1. Dispositivo di controllo di accessi in rete tramite 
il riconoscimento determinist ico di trame applicative 
che soddisfano un insieme di regole predefinite 
comprendente : 

- mezzi (205) di rilevamento ed interpretazione delle 
trame applicative da riconoscere; 

- mezzi (201) di memorizzazione di regole predefinite; 

- mezzi (202) di compilazione delle regole predefinite 
in una struttura dati ad accesso diretto; 

- mezzi (203) di memorizzazione di detta struttura 
dati ad accesso diretto; e 

- mezzi (204) di confronto tra le trame applicative da 
riconoscere e detta struttura dati ad accesso diretto, 
in cui il riconoscimento pud essere effettuato su 
qualsiasi componente della trama ed in cui la 
struttura dati ad accesso diretto permette di ottenere 
un tempo di accesso sostanzialmente indipendente dalla 
numerosita delle regole. 

2. Dispositivo di controllo di accessi secondo la 
rivendicazione 1, caratterizzato dal fatto che detti 
mezzi ( 202 ) di compilazione delle regole predefinite 
comprendono : 

- mezzi di conversione delle regole predefinite in un 



insieme 



di 



sequenze 
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numerici ; e 

- mezzi di compressione dell' insieme di sequenze cosi 
ottenute in una struttura dati ad accesso diretto . 

3. Dispositivo di controllo di accessi secondo la 
rivendicazione 1 o 2, caratterizzato dal fatto di 
comprendere inoltre mezzi di inoltro della trama 
applicativa quando riconosciuta e mezzi di 
restituzione al mittente della trama applicativa 
quando non riconosciuta. 

4. Dispositivo di controllo di accessi secondo la 
rivendicazione 3, caratterizzato dal fatto che detti 
mezzi di restituzione al mittente della trama 
applicativa quando non riconosciuta prevedono la 
restituzione di informazioni relative ai motivi del 
mancato inoltro. 

5. Dispositivo di controllo di accessi secondo una 
qualsiasi delle rivendicazioni precedenti, 
caratterizzato dal fatto che le regole predefinite 
sono memorizzabili quale coppia di campi 
<oggetto>/<azione> . 

6. Dispositivo di controllo di accessi secondo la 
rivendicazione 5, caratterizzato dal fatto che le 
regole predefinite sono memorizzate quale coppia di 
campi <tipo di dato>/<valore dato> . 

7. Dispositivo di controllo di accessi secondo la. 
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rivendicazione 5 o la rivendicazione 6, caratteriz zato 
dal f atto che le regole predef inite contengono - uno o 
piu valori jolly. 

8. Dispositivo di controllo di accessi secondo la 
rivendicazione 5, caratterizzato dal fatto che il 
campo <azione> fa riferimento all' insieme minimo di 
comandi 

- Push 
<valore> 
<variabile> 

<posizione di lettura> 

<valore alia posizione di lettura> 

- Pop 

<variabile> 

<posizione di lettura> 
<nella posizione di lettura> 

- And 

- Mul 

- Add 

- Equal 

- Next 

- F_send_a.ll 
F__dynami c . 

9. Dispositivo di controllo di accessi secondo le 
rivendicazioni 2 e 5, caratterizzato dal fatto che la 
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struttura dati ad accesso diretto e rappresentata 
tramite una struttura matriciale comprendente campi 
oggetto e campi azione. 

10. Dispositivo di controllo di access! secondo una 
qualsiasi delle rivendicazioni precedenti, 

caratterizzato dal fatto che i mezzi (205) di 
rilevamento ed interpretazione delle trame applicative 
comprendono : 

- un dispositivo (9) di rilevamento di pacchetti di 
dati ad un livello corrispondente al livello OSI 2 
comprendenti frame di controllo e frame di 
informazione, in cui i frame di controllo ed 
informazione comprendono una parte di intestazione ed 
una parte di corpo, detta parte di intestazione 
essendo atta a permettere la distinzione tra un frame 
di informazione ed un frame di controllo; 

- una unita di controllo (15) ricevente in ingresso i 
dati provenienti dal dispositivo di rilevamento (9) e 
comprendente mezzi atti a discriminare i frame di 
controllo dai frame di informazione; 

- una unita (16) di datazione collegata all' unita di 
controllo (15) e tale da associare un istante 
temporale di rilevamento ai frame di controllo ed ai 
frame di informazione; 

una unita (17) di memoriz zazione di dati 
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discriminati atta a memorizzare i frame di controllo, 
i frame di informazione e 1' istante temporale di 
rilevamento degli stessi, coliegata in maniera 
bidirezionale all' unita di controllo (15); e 

- una unita (18) di memorizzazione di dati 
predeterminati, coliegata in maniera bidirezionale 
all' unita di controllo (15), detti dati predeterminati 
rappresentando possibili interpretazioni dei frame di 
informazione o di controllo contenuti nell' unita (17) 
di memorizzazione di dati discriminati ed essendo atti 
ad essere confrontati, tramite 1' unita di controllo 
(15), con i dati contenuti nella parte di corpo dei 
frame di informazione o di controllo memorizzati 
nell' unita (17) di memorizzazione di dati 
discriminati, in maniera tale da permettere: 

un ordinamento temporale e secondo il tipo di 
comunicazione delle parti di corpo dei frame di 
controllo e di informazione; e 

- una ricostruzione di alberi applicativi arricchiti 
di informazioni di tipo statistico secondo il tipo di 
comunicazione, in maniera da permettere certif icazione 
delle comunicazioni ed il rilevamento di eventuali 
anomalie . 

11. Dispositivo di controllo di accessi secondo la 
rivendicazione 10, caratterizzato dal f atrt'oT-TrCl^e il 
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dispositivo (9) di rilevamento dati comprende: 

- un ricevitore dei dati di sorgente (12); 

- un ricevitore dei dati di destinazione (13); e 

- una interfaccia di connessione (14) atta a ricevere 
i segnali provenienti dal ricevitore dei dati di 
sorgente (12) e dal ricevitore dei dati di 
destinazione (13) ed a trasmettere gli stessi verso 
l'unita di controllo (15). 

12. Dispositivo di controllo di accessi secondo la 
rivendicazione 10 o 11, caratteri z zato .dal fatto che 
la ricostruzione di detto albero applicativo 
arricchito di inf ormazioni di tipo statistico awiene 
tramite confronto reciproco di ciascuna parte di corpo 
dei frame di informazione con le altre . 

13. Dispositivo di controllo di accessi secondo una 
qualsiasi delle rivendicazioni da 10 a 12, 
caratterizzato dal fatto che la ricostruzione di detto 
albero applicativo arricchito di informazioni di tipo 
statistico awiene tramite confronto di ciascuna 
sequenza di parti di corpo dei frame di informazione 
con un insieme di sequenze predeterminate, 
rappresentanti possibili interpretazioni di sequenze 
di frame di informazione o di controllo contenuti 
nell'unita (17) di memoriz zazione di dati 
discriminati, dette sequenze predeterminate essendo 
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contenute in detta unita (18) di memorizzazione di 
dati predeterminati. 

14. Dispositivo di controllo di accessi secondo una 
qualsiasi delle rivendicazioni da 10 a 13, 
caratterizzato dal fatto che detta unita (16) di 
datazione e di tipo a tempo assoluto, in particolare 
via radio o satellitare. 

15. Dispositivo di controllo di accessi 
sostanzialmente come descritto in precedenza con 
riferimento ai disegni annessi. 
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MODULO A J 



AL MINISTER O DELL'INDUSTRIA DEL COMMERCIO E DELL'ARTIGIANATO 
UFTFICvO ITVflJANO BREVETTI E MARCHI - ROMA 
DOMANDA 01 BREVETTO PER INVENZtONE INDUSTRIALE. DEPOSITO RISERVE. ANTICIPATA ACCESSlBILITA AL PU88LICO 
A. RICHIEDENTE (I) 

1) oenomfnazione I ALASI di Arci eri Franco & C. ^ . a . <=, .• 

RwkJenza lAuStlS ( NuOT O ) . I TALIA 

2) Denominazlone I . 

.Resldenza 



J codice [009,1, 5,9,5,09,:! ,9, , 




I 

8. RAPPRESENTANTE DEL RICHIEDENTE PRESSO L'U.I.B.M. 

cognome e nome I de Benedett i Fab r i zip ed al tn' 



codice 



cod. fiscale 



— 1 — I — I L_ 



denominate studio di appartenenza ■ SOCIETA ' ITALIANA BREV ETTI S.p.A _ 

wiPiazza di _Pietra n - 0039. citla : ROMA^ cap 001.8,6 " 



(prav) 



RM 



C. DOMICILIO ELETTIVO desu'natario 



cap 



(prov) 



D. TITOLO classe proposta (sez/cl/sci) ' . . gaippo/sottognjppo - . ' 

•J D I S P 0 S I TI V.0_ . D I _ C_ 0 W TRQ LL _0__D I_AO C E S S I„I N RETE T RA M I T E T T , BJ'rJlJ$DJEt£JJ:4EN- 

TO VELOCE DI TRAME APPLICATIVE CHE SODDISFANO UN INSIEME DI. REGOLE 
P REDE F I MI T E V „. . , . _ 



ANTICIPATA ACCESSIBIUTA AL PUBBUCO: SI U NO XJ- 
E^VENTORl DESIGNATI cognome nome 

_A RC IERI Fran.c p 

BprioritA 



SE ISTANZA: DATA " / | / J ; N* PROTOCOLLO 

cognome nome 

3) L\LALAMO_.Maur_izip 

4) L 



naz/one o orgamzzazione 



tipo di pnorita 



numero di domanda 



i) i 1 : 

G. CENTRO ABILJTATO DI RACCOLTA COLTURE DI MICRORCANISMI, denominazione i. 



data di deposilo 

! / _ / . 



a [legato 
S/R 



SCIOGUMENTO RISERVE 
Data N' Protocollo 

. ; I . ■ . 



H. ANNOTAZIONI SPECIALI 



DOCUMENT AZIONE ALLEGATA 
N. es. 




Ooc 1) - I2J 
Doc 2) 12.; 



; prov! 



a pag. .8.5, riassunto con disegno principale, descrizione e rivendicazioni (obbllgatorio 1 esemplare) . 

n. tav. UL disegno (obbllgatorio se citato in descrizione, 1 esemplare . 

letter? 4TjK3rico*$£&lj>42lttQ(tsteQi^2Qaq&iX& 

designs zione inventors z 



document! di pnorita con traduzione in italiano . 
autorizzazione o atto di cessione 



Doc 4) lOf 
5) iQ 
Doc 6). O. 

Doc 7) "Q nominathro completo del richiedente 

8) attestati dl versamemo, lotale lire : _ O Q V ej^£.n±Jl_qjLl infi JLc. i m.i la=... 

COMPILATOIL .Q(§' 19.98 FIRMA DEL (I) RICHIEDENTE (I) 

CONTINUA SI/NO N.Oj . 

DEL PRESENTE ATTO SI RICHIEDE COP1A AUTENT1CA SWO ^ T ; 



SCIOGUMENTO RISERVE"" 
Data N* Pratocollo 

.-8 QKJ99& ■.(/. F t 

confronta singote pnorita 

i — : ..t I ..... 



10 9 
0 9 c 



obbiigatorio 

Giorgio Strini 
(Iscr. Atbo n. 452_BMJ 



UmCIO PROVINCIALE IND. COMM. ART. DI :.. 
VERB ALE DI DEPOSITO NUMERO DI DCMANDA 
L'anno millenovecento nOVantpttO 



.ilgiomo do.dici : ,o*eln 
il (i) richiedente (i) sopraindicato (i) ha (hanno) presentato a me sotloscritto la presente domanjja^coxiegate di n. 0.0. logli aggiuntivi per la concessione de^^.ve^soprartportato: j 



ANNOTAZIONI VARIE DELL'UFFICIO ROCANTE 






dom. n. RM98A000542 dep il 12/8/1998 




dom. n. RM98A000542 dep il 12/8/1998 
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